Par défaut, WordPress affiche des messages d’erreur sur la page de connexion lorsque quelqu’un saisit un identifiant ou un mot de passe erroné. Bien que ces messages soient destinés à aider les utilisateurs/utilisatrices, ils peuvent également donner des indices aux pirates qui tentent de s’introduire sur votre site.
La désactivation de ces conseils de connexion est un moyen simple d’améliorer la sécurité de votre site. Avec moins de détails exposés, il devient plus difficile pour quiconque de deviner vos infos de connexion.
Dans cet article, nous allons vous expliquer comment désactiver les conseils de connexion dans WordPress pour vous aider à rendre votre site plus sûr.
Que sont les conseils de connexion dans les messages d’erreur de connexion de WordPress ?
Lorsque quelqu’un tente de se connecter à votre site en utilisant un identifiant ou un mot de passe erroné, WordPress affiche un message d’erreur sur l’écran de connexion.
Si cette personne a saisi un nom d’utilisateur ou une adresse e-mail erronés, WordPress affichera l’erreur suivante : « Le nom d’utilisateur n’est pas inscrit sur ce site. Si vous n’êtes pas sûr de votre identifiant, essayez plutôt votre adresse e-mail.’
Cela peut s’avérer utile pour les utilisateurs/utilisatrices authentiques, mais cela permet également aux pirates de savoir qu’ils tapent le mauvais identifiant.
Saisir le bon identifiant mais un mot de passe incorrect déclenche l’erreur suivante : « Le mot de passe que vous avez saisi pour l’identifiant est incorrect. Vous avez perdu votre mot de passe?
Cela permet de confirmer aux attaquants potentiels que l’identifiant est correct.
Si quelqu’un parvient à deviner votre identifiant, le message d’erreur lui indique qu’il est sur la bonne voie. Cela signifie que seul votre mot de passe l’empêche d’accéder à votre compte.
Les propriétaires de sites WordPress peuvent également se connecter à leur site en utilisant une adresse e-mail au lieu de leur identifiant. Cela signifie qu’un expéditeur pourrait taper différentes adresses e-mail pour essayer de savoir quelle adresse vous utilisez pour votre compte WordPress.
Dès que le pirate devine la bonne adresse e-mail, WordPress passe à l’erreur « Le mot de passe saisi pour l’identifiant est incorrect ».
Pour protéger votre blog ou site WordPress contre les pirates informatiques, vous devez toujours utiliser un identifiant unique et un mot de passe fort pour votre compte.
Si vous avez ajouté d’autres utilisateurs/autrices WordPress à votre site, vous pouvez également utiliser une extension WordPress pour obliger vos utilisateurs/utilisatrices à créer un mot de passe fort.
Bien que ces étapes soient un excellent début, les indices de connexion peuvent aider les pirates à s’introduire sur votre site. En gardant cela à l’esprit, voyons comment masquer les indices de connexion dans les messages d’erreur de connexion de WordPress.
Masquer les conseils de connexion dans WordPress
La façon la plus simple de désactiver les conseils de connexion dans les messages d’erreur de connexion de WordPress est de coller un peu de code dans WordPress. Bien que nous ne le suggérions pas aux débutants, WPCode permet à quiconque d’ajouter facilement du code à son site WordPress.
Vous pouvez ajouter l’extrait de code suivant à la fin du fichier functions.php de votre site, mais vous risquez ainsi de provoquer un dysfonctionnement de votre site.
Nous vous recommandons d’installer l’extension gratuite WPCode. Pour des instructions détaillées, vous pouvez consulter notre guide sur l’installation d’une extension WordPress.
Une fois activé, tout ce que vous avez à faire est d’aller à Code Snippets « +AddSnippet à partir de votre tableau de bord WordPress. Ensuite, vous voudrez survoler votre souris sur » Ajouter votre code personnalisé » et cliquer sur » Utiliser l’extrait « .
Ensuite, il vous suffit de nommer votre nouvel extrait et de coller le code suivant dans la zone de « Prévisualisation du code » :
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Ce code remplace l’erreur par défaut de la page de connexion par un message personnalisé, tel que « Quelque chose ne va pas ».
De plus, ce code indique à WordPress d’afficher un message personnalisé à la place de l’erreur par défaut. Dans l’exemple de code ci-dessus, nous utilisons « Quelque chose ne va pas ! » comme message d’erreur.
Vous pouvez modifier cette ligne pour afficher le message de votre choix. Par exemple, nous utilisons ici « Something is wrong ! » comme message d’erreur :
return 'Something is wrong!';
Confirmez que vous avez sélectionné PHP dans la liste déroulante « Type de code », puis faites passer le commutateur de « Inactif » à « Actif » et cliquez sur « Enregistrer l’extrait ».
Une fois que vous avez fait cela, il est bon de tester votre nouveau message d’erreur.
Pour effectuer ce test, il vous suffit de vous rendre sur la page de connexion de votre site et de saisir un identifiant, un mot de passe ou un e-mail erroné. Cliquez ensuite sur le bouton « Se connecter ».
WordPress affichera maintenant votre nouveau message d’erreur sans vous donner d’indications sur ce qui pourrait ne pas fonctionner.
Note : ce code désactivera les conseils de connexion dans WordPress, mais il ne vous protégera pas contre les tentatives plus avancées ou les attaques par force brute.
Le moyen le plus simple d’empêcher les pirates d’accéder à votre site est d’utiliser une extension de sécurité WordPress comme Cloudflare ou WordFence.
En savoir plus, vous pouvez consulter notre guide ultime sur la sécurisation de votre site WordPress.
Tutoriel vidéo
Pour vous faciliter la tâche, nous avons également créé un tutoriel vidéo sur la façon de désactiver les conseils de connexion dans les messages d’erreur de connexion de WordPress.
Astuce : Améliorer la sécurité de votre connexion WordPress
Maintenant que vous connaissez l’importance d’un nom d’utilisateur et d’un mot de passe forts, explorons quelques moyens supplémentaires de renforcer la sécurité de votre connexion. C’est important uniquement pour vous, mais aussi pour toutes les personnes qui contribuent à votre blog, surtout si plusieurs auteurs/autrices le gèrent.
Voici quelques astuces supplémentaires pour vous aider à rendre vos comptes encore plus sûrs :
- Activez l’authentification à deux facteurs (2FA): Cette fonction ajoute un calque supplémentaire de sécurité en nécessitant un deuxième formulaire de vérification, comme un code de message texte ou une question de sécurité.
- Utilisez un gestionnaire de mots de passe: Ces outils vous aident à créer et à stocker des mots de passe complexes en toute sécurité, afin que vous n’ayez pas à vous en souvenir.
- Mettez régulièrement à jour votre mot de passe: Modifiez vos mots de passe tous les deux ou trois mois pour minimiser le risque d’accès non autorisé. C’est encore mieux si vous pouvez forcer les utilisateurs/utilisatrices à mettre à jour leur mot de passe.
- Évitez d’utiliser un réseau Wi-Fi public pour les connexions sensibles: Dans la mesure du possible, utilisez une connexion sécurisée et privée lorsque vous vous connectez à des comptes importants.
- Maintenez vos logiciels à jour: Des mises à jour régulières peuvent vous protéger contre les failles de sécurité que les attaquants peuvent exploiter.
En plus de tout cela, vous pourriez vouloir limiter les tentatives de connexion sur votre site WordPress.
Lors d’une attaque par force brute, les pirates utilisent un logiciel automatisé pour deviner les mots de passe de manière répétée, car la plateforme autorise par défaut un nombre illimité de tentatives de connexion.
La limitation des tentatives de connexion infructueuses, par exemple le verrouillage temporaire des utilisateurs/utilisatrices après cinq tentatives infructueuses, réduit considérablement le risque d’accès non autorisé par des attaques par force brute.
Nous espérons que cet article vous a aidé à apprendre comment masquer les indices de connexion dans les messages d’erreur de connexion de WordPress. Ensuite, vous pouvez également consulter notre guide sur la façon de créer un portail client avec des connexions et des pages privées ou comment ajouter une connexion sociale à WordPress.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Thomas Maier
Hello how can i translate the code above in different languages? I need it for the woocommerce login for the customers.
WPBeginner Support
You would want to change the ‘Something is wrong!’ text to the text you want but if you want the text to change into multiple languages, that would require a bit more coding than we would have for a beginner article. In that case you would want to take a look at multilingual plugins.
Administrateur
Vahn
Thank you loads! I spent hours looking for the place to change this.
WPBeginner Support
Glad our guide was helpful
Administrateur
Izzy
When I add this to my WpTouch plugin, it shows a part of the code in my header…
WPBeginner Support
As long as the code is working on the desktop version you would want to reach out to WPTouch to let them know about that issue to take a look.
Administrateur
Anand
Well it is easy to know the username if it is right, as when entered correct username and the wrong password, the username field does not get blank even after getting the ‘something is wrong’ warning. Which clearly is a hint the yes this is the correct username. Is there any way to make the username field blank in this scenario. Please help.
Shane
Is there a way to change the text of the error message on the lostpassword page that says by default, « Please enter your username or email address. You will receive a link to create a new password via email. »?
I can’t seem to find any material on the subject
Nick
I was wondering the same thing. Why can’t we just change the wording of the error message instead of adding a function that might be overwritten with the next update?
Paco
The only thing is that when you enter a correct username and an incorrect password, it gives a message “something is wrong” but you can see the username, which confirms it in case you have guessed it. I don´t know if this happens in WordPress 4.5. Is there any way of leaving the username field blank even though it´s correct? Thank you
maudenicholson2
I am curious to find out what blog system you’re using? I’m having some small security issues with my latest website and I would like to find something more safeguarded. Do you have any solutions?
WPBeginner Support
We are using WordPress with Sucuri.
Administrateur
freyaewu73605919
I am truly thankful to the owner of this web page who has shared this enormous article at at this time.
deneengranger
Do you have any video of that? I’d like to find out some additional information.
WPBeginner Support
Video will be available soon. Please subscribe to our YouTube Channel.
Administrateur
Bob
WP Simple Firewall or Shield gives you the ability to hide the login menu, lock down the Dashboard and it comes with Sucuri and Brute Attack prevention. It is a free plugin, use it in conjunction with a password manager, so you don’t forget or misplace your passwords. I use Lastpass, which is also free. Shield replaced six security plugins and sped up my website.
Phillip George
Is there a help line in Australia as I have forgotten my user name for logon being a little old it is a problem
Bob
G’day Phillip, sorry mate no help line. Try going through whoever hosts your website, they should be able to help you out. Once reset use a password manager like Lastpass, you only have to remember one password. WRITE IT DOWN; did I say write it down because if you don’t, WRITE IT DOWN you’ll really will be up the creek, without a paddle.